McAfee 的威胁分析师发现了五个可以窃取用户浏览活动的 Google Chrome 扩展程序。总的来说,这些扩展的下载量已超过 140 万次。
恶意扩展的目的是监控用户何时访问电子商务网站,并修改访问者的 cookie,使其看起来好像是通过引荐链接而来的。为此,扩展程序的作者在电子商店进行任何购买都会获得会员费。
McAfee 研究人员发现的五个恶意扩展如下:
- Netflix 派对(mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次下载
- Netflix 派对 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次下载
- 整页截图捕获 – 截图(pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次下载
- FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次下载
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次下载
值得注意的是,上述扩展仍然具有承诺的功能,使受害者更难以注意到恶意活动。尽管使用它们不会直接影响用户,但它们会带来严重的隐私风险。
因此,如果您使用任何列出的扩展程序,即使您发现它们的功能很有用,建议您立即从浏览器中删除它们。
扩展如何工作
McAfee 发现的所有五个扩展 都具有类似的行为。Web 应用程序清单(“manifest.json”文件)指示扩展程序在系统上的行为方式,加载一个多功能脚本(B0.js),将浏览数据发送到攻击者控制的域(“langhort[.] com”)。
每次用户访问新 URL 时,数据都会通过 POST 请求传递。到达欺诈者的信息包括 base64 格式的 URL、用户 ID、设备位置(国家、城市、邮政编码)和编码的推荐 URL。
如果访问过的网站与扩展作者与其有活动关系的网站列表中的任何条目相匹配,则服务器会使用两种可能的功能之一来响应 B0.js。
第一个“Result[‘c’] – passf_url”命令脚本将提供的 URL(引用链接)作为 iframe 插入访问的网站。
第二个,“Result[‘e’] setCookie”,命令 B0.js 修改 cookie,或者如果扩展已被授予执行此操作的相关权限,则将其替换为提供的。
McAfee 还发布了一段视频来展示 URL 和 cookie 修改是如何实时发生的:
为了逃避检测、分析并迷惑研究人员或警惕的用户,一些扩展程序在开始发送浏览器活动之前会延迟 15 天的安装时间。
在撰写本文时,Chrome Web Store 上仍提供“全页截图捕获 – 截图”和“FlipShope – 价格跟踪器扩展”。
这两个 Netflix Party 扩展程序已从商店中删除,但这并不会从网络浏览器中删除它们,因此用户应该采取手动操作来卸载它们。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 安装了140万次的Chrome扩展程序窃取浏览数据
